(Продолжение, предыдущую часть см. http://rusrim.blogspot.com/2026/02/5-2_01236470091.html )
5. Права собственности
У меня есть два наблюдения по этому поводу:
- Как можно видеть, в архивно-документационном подходе к оценке рисков учитывается больше факторов чем в традиционном подходе к оценке рисков в области кибербезопасности – «Триаде CIA» (Confidentiality, Integrity and Availability — конфиденциальность, целостность и доступность. При архивно-документационном подходе информация рассматривается как осмысленное содержание (контент) в определённом контексте, в то время, как в сфере кибербезопасности контроль над информационными объектами осуществляется независимо от их содержания.
- В Новом Южном Уэльсе применяется политика, основанная на разграничении обычных документов/информации и документов/информации высокой ценности и высокого риска (high value, high risk, HVHR). Я вернусь к этому ниже; также некоторые мысли по этому поводу я уже высказал в другом посте ( https://bogdanpopovici2008.wordpress.com/2025/12/27/documente-esentiale-vital-records/ ).
Анализ рисков включает нескольких этапов:
- Идентификация рисков
- анализ внешней и внутренней среды,
- определение конкретных требований к управлению документами,
- изучение документных процессов и систем,
- выявление областей высокого риска.
- Оценка выявленных рисков
- Составление описаний рисков
- событие, которое повлияет на документы
- причина события
- потенциальные последствия
- Компиляция реестра рисков организации
Определения (см. https://www.nsw.gov.au/nsw-government/recordkeeping/plan/high-risk-records ):
А. К документам, информации и данным высокой ценности относятся активы, которые помогают организациям:
- выполнять свои функции,
- обеспечивать обслуживание клиентов,
- отвечать на запросы, проводить аудиты, расследования и решать юридические вопросы.
B. К документам, информация и данным высокого риска относятся активы, которые:
- создаются или получаются в зонах высокого риска деловой деятельности или в процессах высокого риска,
- могут представлять для организации значительный риск в случае их неправомерного использования, ненадлежащего раскрытия, некорректного доступа и изменения, утраты, повреждения или преждевременного уничтожения.
Выявление документов, информации и данных высокой ценности и высокого риска
Документы, информация и данные высокой ценности и высокого риска, как правило, создаются или поступают в областях деятельности, связанных с:
- выполнением основных и установленными законодательством функций организации,
- значительными инвестициями правительства штата Новый Южный Уэльс или с существенным вкладом в экономику штата Новый Южный Уэльс,
- прямым контактом с физическими лицами (например, в сфере регулирования, в правоохранительной деятельности, в здравоохранении или в сфере социальной защиты, где возможно возникновение споров),
- разработкой политики или услуг, влияющих на отдельных лиц и на сообщества, или на их права,
- управлением природными ресурсами, с имеющими культурное значение объектами и с защитой государственной инфраструктуры штата Новый Южный Уэльс,
- процессами, подверженными коррупции или потенциально способными порождать коррупционное поведение,
- ключевыми программами, имеющими международное, национальное или региональное значение,
- сбором и использованием персональных данных и медицинской информации (как установлено Законом о защите неприкосновенности частной жизни и персональных данных 1998 года (Privacy and Personal Information Protection Act) и Законом о медицинских документах и конфиденциальности информации 2002 года (Health Records and Information Privacy Act))
- политиками, решениями или услугами, которые находятся под пристальным наблюдением общественности, средств массовой информации или надзорных органов.
- Анализ документов,
- Взаимодействие с персоналом,
- Анализ информации.
Богдан-Флорин Поповичи (Bogdan-Florin Popovici)
Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/27/managementul-riscurilor-pentru-arhive-5/
Комментариев нет:
Отправить комментарий